Güvenlik Denetimi: Günlüğe Kaydetme ve İzleme
Not
En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.
Güvenlik günlüğü ve izleme, Azure hizmetleri için denetim günlüklerini etkinleştirme, alma ve depolama ile ilgili etkinliklere odaklanır.
2.1: Onaylanan zaman eşitleme kaynaklarını kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft, Azure kaynakları için zaman kaynaklarını korur, ancak işlem kaynaklarınız için zaman eşitleme ayarlarını yönetme seçeneğiniz vardır.
Azure Windows işlem kaynakları için zaman eşitlemeyi yapılandırma
Azure Linux işlem kaynakları için zaman eşitlemeyi yapılandırma
2.2: Merkezi güvenlik günlüğü yönetimini yapılandırma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2,2 | 6.5, 6.6 | Müşteri |
Uç nokta cihazları, ağ kaynakları ve diğer güvenlik sistemleri tarafından oluşturulan güvenlik verilerini toplamak için Günlükleri Azure İzleyici aracılığıyla alın. Azure İzleyici'de Log Analytics Çalışma Alanlarını kullanarak analiz sorgulayıp gerçekleştirin ve azure depolama hesaplarını uzun vadeli/arşiv depolama için kullanın.
Alternatif olarak, Azure Sentinel veya üçüncü taraf bir SIEM'de verileri etkinleştirebilir ve bunlara ekleyebilirsiniz.
Azure İzleyici ile platform günlüklerini ve ölçümlerini toplama
Azure İzleyici ile Azure Sanal Makine iç konak günlüklerini toplama
Azure İzleyici ve üçüncü taraf SIEM tümleştirmesini kullanmaya başlama
2.3: Azure kaynakları için denetim günlüğünü etkinleştirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.3 | 6.2, 6.3 | Müşteri |
Denetim, güvenlik ve tanılama günlüklerine erişim için Azure kaynaklarında Tanılama Ayarlarını etkinleştirin. Otomatik olarak kullanılabilen etkinlik günlükleri olay kaynağı, tarih, kullanıcı, zaman damgası, kaynak adresleri, hedef adresler ve diğer yararlı öğeleri içerir.
Azure İzleyici ile platform günlüklerini ve ölçümlerini toplama
Azure'da günlüğe kaydetmeyi ve farklı günlük türlerini anlama
2.4: İşletim sistemlerinden güvenlik günlüklerini toplama
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.4 | 6.2, 6.3 | Müşteri |
İşlem kaynağı Microsoft'a aitse, bunu izlemek Microsoft'un sorumluluğundadır. İşlem kaynağı kuruluşunuza aitse, bunu izlemek sizin sorumluluğunuzdadır. İşletim sistemini izlemek için Azure Güvenlik Merkezi kullanabilirsiniz. güvenlik merkezi tarafından işletim sisteminden toplanan veriler işletim sistemi türünü ve sürümünü, işletim sistemini (Windows Olay Günlükleri), çalışan işlemleri, makine adını, IP adreslerini ve oturum açmış kullanıcıyı içerir. Log Analytics Aracısı kilitlenme bilgi dökümü dosyalarını da toplar.
2.5: Güvenlik günlüğü depolama saklamayı yapılandırma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.5 | 6.4 | Müşteri |
Azure İzleyici'de Log Analytics Çalışma Alanı saklama sürenizi kuruluşunuzun uyumluluk düzenlemelerine göre ayarlayın. Uzun süreli/arşiv depolama için Azure Depolama Hesaplarını kullanın.
2.6: Günlükleri izleme ve gözden geçirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2,6 | 6.7 | Müşteri |
Anormal davranış için günlükleri analiz edip izleyin ve sonuçları düzenli olarak gözden geçirin. Günlükleri gözden geçirmek ve günlük verileri üzerinde sorgular gerçekleştirmek için Azure İzleyici'nin Log Analytics Çalışma Alanı'nı kullanın.
Alternatif olarak, Azure Sentinel veya üçüncü taraf bir SIEM'e verileri etkinleştirebilir ve ekleyebilirsiniz.
2.7: Anormal etkinlikler için uyarıları etkinleştirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.7 | 6.8 | Müşteri |
Güvenlik günlüklerinde ve olaylarında bulunan anormal etkinlikleri izlemek ve uyarmak için Log Analytics Çalışma Alanı ile Azure Güvenlik Merkezi kullanın.
Alternatif olarak, Azure Sentinel'e verileri etkinleştirebilir ve ekleyebilirsiniz.
2.8: Kötü amaçlı yazılımdan koruma günlüğünü merkezileştirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.8 | 8.6 | Müşteri |
Azure Sanal Makineler ve Cloud Services için kötü amaçlı yazılımdan koruma olay koleksiyonunu etkinleştirin.
2.9: DNS sorgu günlüğünü etkinleştirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2.9 | 8.7 | Müşteri |
Kuruluşunuzun ihtiyaç duyduğu şekilde DNS günlüğe kaydetme çözümü için Azure Market bir üçüncü taraf çözümü uygulayın.
2.10: Komut satırı denetim günlüğünü etkinleştirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 2,10 | 8.8 | Müşteri |
İşlem oluşturma olayını ve CommandLine alanını günlüğe kaydetmek için desteklenen tüm Azure Windows sanal makinelerinde Microsoft Monitoring Agent'ı kullanın. Desteklenen Azure Linux Sanal makineleri için konsol günlüğünü düğüm başına el ile yapılandırabilir ve syslog kullanarak verileri depolayabilirsiniz. Ayrıca azure sanal makinelerinden günlükleri gözden geçirmek ve günlüğe kaydedilen veriler üzerinde sorgular gerçekleştirmek için Azure İzleyici'nin Log Analytics çalışma alanını kullanın.
Sonraki adımlar
- Sonraki Güvenlik Denetimine bakın: Kimlik ve Access Control